ZONE ANTIMALWARE

Le forum de Nicolas Coolman a pour objectif de détecter et d'informer sur les nouvelles menaces malwares présentes sur le web. 

Vous avez des messages d'avertissement qui s'affichent, votre système est lent à démarrer, votre navigation est redirigée.
Ce sont peut-être les signes d'une infection. Vous avez fait une analyse de votre PC et vous ne savez pas analyser le rapport.
Dans cette section, vous pouvez désinfecter gratuitement votre ordinateur.
Des experts bénévoles vous assistent et vous conseillent tout le long de votre prise en charge.
Si vous sollicitez une aide dans ce forum, évitez de faire une demande similaire dans un autre site d'assistance.
 #98091  par LeChe
 
Hello

ZHPCleaner me trouve ça , légitime ou pas ?

---\\ BASE DE REGISTRES ( Clés, Valeurs, Données ). (1)
TROUVÉ valeur: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\\AmIcoSinglun64 [0x020000000000000000000000] =>Heuristic.Suspect

rapport complet:

https://www.cjoint.com/c/IEbiwCmXSyC

export de la clé Run32

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32]
"AvastUI.exe"=hex:02,00,00,00,00,00,00,00,00,00,00,00
"StartCCC"=hex:02,00,00,00,00,00,00,00,00,00,00,00
"1.TPUReg"=hex:02,00,00,00,00,00,00,00,00,00,00,00
"AmIcoSinglun64"=hex:02,00,00,00,00,00,00,00,00,00,00,00
"TSVU"=hex:02,00,00,00,00,00,00,00,00,00,00,00
"Avira Systray"=hex:02,00,00,00,00,00,00,00,00,00,00,00
"avgnt"=hex:02,00,00,00,00,00,00,00,00,00,00,00
"Avira SystrayStartTrigger"=hex:02,00,00,00,00,00,00,00,00,00,00,00
"WindowsDefender"=hex:03,00,00,00,20,ec,63,ef,22,f2,d4,01

PS: ZHPDiag est clean
Modifié en dernier par LeChe le 02 mai 2019, 12:30, modifié 2 fois.
 #98092  par NicolasCoolman
 
Hello,

AmIcoSinglun64 est détecté en tant que cle Run. Il s'agit d'une clé légitime de chez Alcor.

As-tu un produit Alcor d'installé ?

Si oui, souhaites-tu que AmIcoSinglun64 soit lancé automatiquement depuis le registre ?
Si non, tu peux accepter la suppression proposée par ZHPCleaner.
 #98093  par Pierre95
 
En complement de ce qu'à écrit Nicolas et si tu ne sait si tu as du Alcor installé
quelques informations glanées sur le net

Cette valeur suspecte de clé fait réference à AMIcoSingLUN64 signifie Alcor Micro Icon Utility for Single LUN (logical unit number) Cards (64-bit) et d'un
fichier amicosinglun64.exe
voir ici
https://www.fichier.net/processus/amico ... 4.exe.html

Peux tu faire une recherche de fichier avec FRST

FRST recherche de fichier

Tu va relancer FRST en double cliquant et en validant le disclamer
Quand tu aura ceci

Image

Tu copieras colleras dans le cadre [ 1 ]Chercher la ligne bleue ci dessous
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Que les cases soient cochées ou pas cela n'a pas d'importance.

puis tu cliqueras sur le bouton chercher Fichiers

Image

un rapport Search.txt apparaitra sur ton bureau
Envoie le nous en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt
 #98094  par LeChe
 
Hello

Apparemment, le fichier est présent

https://www.cjoint.com/c/IEbmmR7BR2C

virus total : ratio : 0/77


je ne connais pas ce type de produit Alcor , mais si ces fichiers sont présents , cela signifie que j'ai bien des produits Alcor, non ?

alors je garde ou je supprime ? ou bien je désactive au démarrage ?
 #98095  par NicolasCoolman
 
Hello,

Personnellement, je supprimerais cette valeur de registre de la clé StartupApproved. Si un produit Alcor a besoin de se lancer, il le fera quand il sera sollicité.

Au préalable, tu peux faire une exportation de la clé Run32 si tu le souhaites et la conserver quelques jours.

Attends aussi la réponse de Pierre, deux avis valent mieux qu'un.
 #98096  par LeChe
 
Pourquoi parles tu de la clé clé Startupreg, il s'agit de la clé StartupApproved ??

donc si je comprends bien je supprime cette valeur avec ZHPCleaner ?
 #98100  par LeChe
 
Il y a quelque chose qui m'échappe, j'ai supprimé la valeur dans le registre, mais néanmoins, lorsque je vais dans CCleaner, je vois que la clé est toujours au démarrage ( voir ci dessous )

Image
 #98104  par Pierre95
 
Ernesto,
Parbleu, c'est normal
car il est lancé par une autre clé
Peux tu me faire un ZHPDiag et me donner un frst.txt et je te dirais laquelle ?

Cela doit être quelque chose comme
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.